Sicherheit geht vor
Fast 30.000 Unternehmen sollen kritische Infrastruktur besser absichern
Aktivisten, die sich auf Startbahnen festkleben, IT-Erpresser, die Krankenhäuser lahmlegen und Taucher, die Pipelines sprengen: Die Bundesregierung will kritische Infrastruktur besser schützen. Auch IT-Firmen müssen sich auf neue Regeln einstellen. Wenn sie diese missachten, drohen hohe Geldbußen bis hin zur Entmachtung ihrer Geschäftsleitung.
Die Bundesregierung hat mit dem NIS2-Umsetzungsgesetz und dem KRITIS-Dachgesetz zwei Entwürfe vorgelegt, die die gesetzlichen Anforderungen zum Schutz kritischer Infrastruktur (KRITIS) deutlich ausweiten und verschärfen. Mit dem NIS2-Umsetzungsgesetz folgt die Regierung der Ende 2022 überarbeiteten Netzwerk- und Informationssicherheitsrichtlinie der EU. Von ihm betroffen sind laut Referentenentwurf rund 29.000 Unternehmen und Bundeseinrichtungen, die systemrelevante Beiträge zur Infrastruktur und Versorgung der Bevölkerung leisten.
Das neue Dachgesetz gilt hingegen nur für etwa 3000 Firmen, die in Deutschland bislang KRITIS-Vorgaben im Bereich der Cybersicherheit beachten müssen. Das sind Unternehmen, deren Einrichtungen mehr als eine halbe Million Menschen versorgen – sei es direkt oder indirekt, weil sie etwa an Schlüsselstellen für bestimmte Wirtschaftszweige oder Lieferketten sitzen. Das Dachgesetz umfasst ergänzend zur IT-Sicherheit auch die physische Sicherheit der Anlagen und setzt die ebenfalls 2022 verabschiedete EU-Richtlinie über kritische Einrichtungen (CER) um. Die betroffenen Unternehmen müssen sich beiden Gesetzen zufolge künftig intensiver um Schutzmaßnahmen, Resilienzpläne und Meldepflichten kümmern. Bei Verstößen drohen hohe Strafen: Wer beispielsweise bei der Cybersicherheit schlampt und sich dabei erwischen lässt, soll bis zu 1,2 Prozent seines Vorjahresumsatzes als Strafe zahlen.